一、背景介绍
7月1日,市委网信办技术支撑单位监测到GitLab 官方发布安全公告,修复了GitLab 社区版(CE)和企业版(EE)中多个安全漏洞。经研判,以下4个重要漏洞值得关注(CVE-2022-2185、CVE-2022-2235、CVE-2022-2230、CVE-2022-2229)。
1.1部分漏洞详细介绍:
(1)GitLab 远程代码执行漏洞(CVE-2022-2185)
GitLab 社区版(CE)和企业版(EE)中存在一个远程代码执行漏洞,经过身份验证的攻击者
通过利用该漏洞导入恶意项目,最终可实现在目标服务器上执行任意代码。
(2)GitLab 跨站脚本(XSS)漏洞(CVE-2022-2235)
GitLab 企业版(EE)存在一个 XSS 漏洞,经过身份验证的攻击者通过诱导用户点击特制的
恶意文件可以成功利用该漏洞。
(3)GitLab 存储型 XSS 漏洞(CVE-2022-2230)
GitLab 社区版(CE)和企业版(EE)的设置页面中存在一个存储型的 XSS 漏洞,拥有高权限
的攻击者利用该漏洞可导致以受害者的名义在 GitLab 中执行任意 JavaScript 代码。
(4)GitLab 授权不当漏洞(CVE-2022-2229)
GitLab 社区版(CE)和企业版(EE)的设置页面中存在一个授权不当漏洞,未经身份验证的
攻击者可在所属的公共项目或私人项目中提取出攻击者已知名称的,且未受保护变量的值。
1.2 漏洞编号
CVE-2022-2185
CVE-2022-2235
CVE-2022-2230
CVE-2022-2229
1.3 漏洞等级
高危
二、修复建议
2.1 受影响版本
CVE-2022-2185:
GitLab CE/EE 14.0 <14.10.5
GitLab CE/EE 15.0 <15.0.4
-GitLab CE/EE 15.1<15.1.1
CVE-2022-2235:
GitLab EE 14.5 < 14.10.5
GitLab EE 15.0 <15.0.4
GitLab EE 15.1 <15.1.1
CVE-2022-2230:
GitLab CE/EE 14.4 < 14.10.5
GitLab CE/EE 15.0 < 15.0.4
GitLab CE/EE 15.1 < 15.1.1
CVE-2022-2229:
GitLab CE/EE 13.7 < 14.10.5
GitLab CE/EE 15.0 < 15.0.4
GitLab CE/EE 15.1 < 15.1.1
2.2 修复建议
目前官方已发布新版本修复了上述漏洞,请受影响的用户尽快升级至最新版本进行防护,
官方下载链接:https://about.gitlab.com/update/